翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail 証跡の使用
証跡は AWS アクティビティの記録をキャプチャし、これらのイベントを Amazon S3 バケットに配信および格納します。必要に応じて、Amazon CloudWatch Logs や Amazon EventBridge にも配信できます。
証跡を作成すると、進行中の管理イベントのコピーを 1 つ無料で CloudTrail から S3 バケットに配信できますが、Amazon S3 ストレージには料金がかかります。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
AWS アカウントのマルチリージョンとシングルリージョンの両方の証跡を作成できます。
- マルチリージョン証跡
-
マルチリージョン証跡を作成すると、CloudTrail は作業中の AWS パーティション内のすべての AWS リージョン についてイベントを記録し、指定した S3 バケットに CloudTrail イベントログファイルを配信します。マルチリージョン証跡を作成した後に AWS リージョンを追加すると、この新しいリージョンは自動的に追加され、そこでのイベントがログに記録されます。マルチリージョンの証跡を作成すると、アカウント内のすべてのリージョンでのアクティビティを把握できるため、推奨されるベストプラクティスとなります。CloudTrail コンソールを使用して作成する証跡はすべてマルチリージョンになります。AWS CLI を使用することで、単一リージョンをマルチリージョンの証跡へと変換することができます。詳細については、コンソールで証跡を作成するおよび1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用を参照してください。
- 単一リージョンの証跡
-
単一リージョンの証跡を作成すると、CloudTrail はそのリージョンにのみイベントを記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されます。AWS CLI を使用する際は、単一のリージョンの証跡のみを作成することができます。追加で単一の証跡を作成した場合、同じ S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信する証跡を持つことができます。これは、AWS CLI または CloudTrail API を使用して証跡を作成するときのデフォルトのオプションです。詳細については、「AWS CLI で証跡を作成、更新、管理する 」を参照してください。
注記
どちらのタイプの証跡でも、任意のリージョンから Amazon S3 バケットを指定できます。
AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントにおけるすべてのイベントをログに記録する組織の証跡を作成できます。組織の証跡は、すべての AWS リージョンまたは現在のリージョンに適用できます。組織の証跡は管理アカウントまたは委任された管理者アカウントで作成する必要があり、組織への適用として指定されている場合は、組織内のすべてのメンバーアカウントに自動的に適用されます。メンバーアカウントは組織の証跡を表示できますが、これを変更または削除することはできません。デフォルトでは、メンバーアカウントは Amazon S3 バケット内にある組織の証跡のログファイルにアクセスできません。詳細については、「組織の証跡の作成」を参照してください。
トピック
